Wie prüfen die Aufsichtsbehörden den Datenschutz?
Eine Frage, die uns regelmäßig gestellt wird. Hier kurz ein paar Infos dazu: Die Behörden sind befugt, Datenschutzüberprüfungen durchzuführen und von den Verantwortlichen die Bereitstellung von Informationen zu fordern, die sie zu Prüfungszwecken benötigen. Von diesen Befugnissen haben die ersten Behörden der Länder Bayern, Berlin und Niedersachsen Gebrauch gemacht und es ist davon auszugehen, dass auch die übrigen Behörden 2019 ihre Prüfungen starten. In all diesen Prüfungen fanden sich grundsätzlich die gleichen Themen wieder:
Verzeichnis von Verarbeitungstätigkeiten
Hier reichten die Prüfungen von der bloßen Frage, ob ein solches Verzeichnis angelegt wurde und wie viele Prozesse das Verfahren enthält, bis zur Forderung der Herausgabe einer Übersicht über die Verfahren und eines Musterbeispiels.
Zulässigkeit der Verarbeitung
Bei der Frage nach den Rechtsgrundlagen für die Verarbeitung legen die Behörden besonderen Wert auf jene Grundlagen, die Fleiß beim Verantwortlichen voraussetzen, sprich nicht automatisch - wie beispielsweise ein Vertrag - vorliegen. Insofern wurden Muster von Einwilligungen und dokumentierte Interessenabwägungen beim berechtigten Interesse gefordert.
Betroffenenrechte
Neben den Mustern der Pflichtinformationen wird hier eine Beschreibung der Prozesse über den Umgang mit Betroffenenrechten gefordert und wie deren Einhaltung und rechtzeitige Beantwortung sichergestellt wird.
Technische und organisatorische (Sicherungs)maßnahmen (sogenannte TOMs)
Zu den technischen und organisatorischen Sicherungsmaßnahmen wird entweder eine Übersicht dieser verlangt oder die Fragen beziehen sich auf den Umgang mit den Sicherungsmaßnahmen in Bezug auf Sicherstellung deren Aktualität oder Angemessenheit. Die Aufsichtsbehörde des Landes Niedersachsen stellte auch Fragen zu einzelnen Sicherungsmaßnahmen (z.B. Berechtigungskonzept und Privacy by Design und Default).
Datenschutz-Folgenabschätzung
In Bezug auf die Datenschutz-Folgenabschätzung wollten die Behörden wissen, ob Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten der Betroffenen identifiziert wurden und wenn ja, welche dies sind. Die dokumentierten Abschätzungen sind dann auch zu übermitteln.
Auftragsverarbeitung
Hier wollten die Behörden wissen, ob bereits Verträge mit Auftragsverarbeitern an die DSGVO angepasst wurden und auch die Übersendung einer Mustervereinbarung wurde gefordert.
Datenschutzbeauftragter
Neben der Frage, ob ein Datenschutzbeauftragter bestellt und der zuständigen Behörde gemeldet wurde, ist die fachliche Eignung des Datenschutzbeauftragten den Behörden wichtig.
Meldepflicht bei Datenschutzverstößen
Hier möchten die Behörden mehr über die Prozesse erfahren, die bei einer Datenpanne ausgelöst werden und sicherstellen, dass eine fristgerechte Meldung bei den Behörden und Betroffenen erfolgt.
Mit diesen Prüfungen möchten die Behörden erreichen, dass sich die Unternehmen grundlegend mit der DSGVO auseinandergesetzt haben und über ihre Dokumentation nachweisen können, dass eine Datenschutzorganisation aufgebaut wurde. Daneben haben die Aufsichtsbehörden der Länder Berlin und Bayern auch schon Prüfungen einzelner Verarbeitungsvorgänge eingeleitet. Mitte November hat die Berliner Aufsichtsbehörde etwa einen Fragebogen zu Facebook-Fanpages versendet. In Bayern wurden schon mehrere von diesen Prüfaktionen eingeleitet. So wurden dort Fragebögen zum Umgang mit den Pflichtinformationen im Bewerbungsverfahren, dem Umgang mit Ransomware in Arztpraxen, dem Einsatz von Online-Shop-Systemen etc. versendet.
Dies zeigt, dass mit einem unterschiedlichen Prüfverhalten der Behörden zu rechnen ist und Sie die stetige Verbesserung Ihres Datenschutzes nicht vernachlässigen sollten. Sollten Sie Post von einer Datenschutz-Aufsichtsbehörde erhalten, kontaktieren Sie uns bitte.